一、综述
近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。请DocuSign的用户提高警惕,在收到相关邮件时仔细查验真伪,不要轻易打开邮件正文中的word文档查看链接。
火绒安全团队根据截获的病毒邮件分析和溯源,发现知名的数字文档签署平台DocuSign遭到黑客入侵,导致用户资料被泄露。病毒团伙得到用户信息后,伪造了一个假域名“DocuSgn”(比DocuSign少一个字母i),从这里向用户发出病毒邮件,病毒邮件伪装成会计发票,由于邮件标题及正文均使用 DocuSign 品牌标识,充满迷惑性,诱骗用户下载含有恶意代码的word文档,当用户打开文档时,系统会询问用户是否打开被禁用的恶意宏代码,如果用户启用被禁宏,便会开启病毒的多次接力下载,最终下载并运行Zbot。(如下图所示)
本次病毒邮件攻击的受害人群仅限于DocuSign用户,火绒安全通过虚拟行为沙盒可以检测出恶意行为,所以无需升级即可彻底查杀病毒,并且通过“恶意网址拦截”功能,拦截假冒域名docusgn.com。
二、事件分析
近期,火绒工作人员收到了一封来自"docusign"的邮件,经火绒工程师确认,这是一封伪装DocuSign的钓鱼邮件。图中发件人的邮箱地址为,和官方docusign.com有一字之差,如下图所示:
火绒一共收到4封正文相同的邮件,只是下载文档的地址变换了4次。分别如下:
点击“REVIEW DOCUMENT”下载包含恶意代码的Word文档:
下载的文档内容也是相似,只有一副图片。火绒初步怀疑该恶意文档是使用MetaSpolit工具生成。打开文档后,Word会询问用户是否打开被禁用的恶意宏代码,如下所图:
如果按照钓鱼文档的说明,关闭安全警告启用宏,就会触发文档中的恶意脚本,脚本执行过程中会进行多次解密,解密数据来自于宏脚本窗口中的控件对象。控件对象数据如下:
关键解密过程如下:
控件对象数据最终会解密出包含恶意代码的PE文件,然后启动系统进程svchost.exe,将解密后的病毒注入到svchost.exe中执行:
被注入的svchost.exe还是一个下载器,联网后下载另一个病毒程序"BN2589.tmp.exe"到TEMP目录并执行。
通过分析, “BN2589.tmp.exe”是一个被混淆器多重加密的Zbot。病毒会启动explorer.exe作为傀儡进程运行恶意代码:
上图中Explorer被病毒Patch了入口点代码,确保在Explorer恢复线程后,可以从入口点跳转到注入的恶意代码,随后跳转到恶意代码入口点继续解密:
注入到explorer的恶意代码是一个混淆后的动态库,其导入表是经过加密进行存放的,在动态库被注入后会先对其导入表进行修复,修复后进会保留函数地址,并对函数名部分进行擦除:
其父进程注入explorer时会在其内存块其实地方记录下一段加密的用户配置信息和启动程序路径:
病毒主逻辑中,首先会检测虚拟机进行反调试:
该样本中所使用的所有资源都被加密:
通过解密可以得到C&C服务器域名如下:
其程序运行中会不断的尝试联网,获取C&C传回的数据信息。在样本中我们还发现大量DNS服务器,如下:
这些DNS服务器具有DNSCrypt功能,推测其目的是加密访问病毒C&C服务器,如下:
完整的解密后数据:
根据病毒的行为和复杂程度,结合上图中红色框中的解密出来的字符片段,但是通过此前泄露的ZBot源码,可以断定这就是Zbot无疑:
Zbot是一个历史悠久且功能复杂的木马程序,因为源码的泄露。使得任何人都可对其修改,我们可以从之前泄露的Zbot源码看到病毒有以下主要行为:
1.获取浏览器cookies,flash player cookies, FTP密码和email密码。
Zbot会针对不同的FTP和email客户端,读取其保存账户信息的注册表或文件,之后将收集到的信息打包发送到病毒作者的C&C服务器。从下面两张图中,我们可以看到Zbot能够盗取市面上主流FTP和email软件的账户信息。
2.HOOK InternetReadFile 和 InternetReadFileExA函数,在获取网页时向网页中注入代码获取用户的账户信息:
3.HOOK GetClipboardData 函数获取剪切板信息:
4.HOOK TranslateMessage函数,拦截程序消息,当为按钮按下消息时,截屏保存图片。当为键盘按键消息时,则记录按键信息。如下图所示:
除了上述介绍的几个函数外Zbot还HOOK了一些系统API,和上述方法类似,主要用于获取用户信息,这里就不再详细列举。
Docusign是数字文档签署平台,其客户多是企业用户。此次Zbot攻击,非常有针对性,结合Zbot的行为, 不排除病毒会窃取商业资料,网银密码、等企业关键信息。
火绒在拦截到病毒样本之前就已经可以对相关病毒样本进行查杀,并且在拦截到病毒当天就升级了恶意网址拦截,阻拦了虚假域名docusgn.com。
三、附录
样本SHA1:
……